Um dos assuntos que eu mais gosto em analise forense é o relacionado a recuperação de informações.
Quando conseguimos mante-las, e quando as perdemos ?
Proposital ou não, algumas vezes perdemos informações.
Nesse post não darei muitos detalhes técnicos, somente relatar um fato.
Trabalhei durante 3 anos com um notebook, e no começo desse ano (2013), recebi um novo.
Providenciei a cópia dos arquivos e continuei utilizando os dois equipamentos em paralelo.
Depois de 2 meses achei que já estava na hora de dar um novo fim a meu equipamento antigo, uma maquina com 3 partições de disco e com Windows 7 instalado.
Instalei o Linux - BackTrack 5r3 . Durante a instalação solicitei que as antigas partições fossem removidas. Instalação padrão. Assim, partições antigas foram removidas, partições novas criadas.
Relembrando : Antes: um sistema de arquivos NTFS que foi apagado. Depois: Um sistema EXT4 foi criado.
Um mês depois, usando o Linux na maquina antiga, lembrei que esqueci de copiar meus arquivos relacionados ao imposto de renda.
Uma coisa que pode ser considerada normal, visto que não existem padrões para onde os programas vão gravas suas informações e cada programa usa seu próprio padrão. Nem tudo esta no "Meus Documentos" .
Usando as ferramentas do próprio Linux BackTrack, (sleuthkit e autopsy - www.sleuthkit.org/) iniciei uma busca no HD (como linux) pelo meu CPF ( que só havia sido utilizado em meu computador quando eu utilizava Windows ). Para deixar bem claro, eu não procurei arquivos. Fui procurar dados no disco.
Encontrei e consegui recuperar minha declaração completa.
Esse processo como todo é trabalhoso.
Agora.
Não acreditem em tudo que leem.
A mensagem acima pode não ser totalmente verdadeira.
Se voce escolheu a opção de "Quick Format" = " Formatação Rápida" , a mensagem diz.
" Vou remover o índice de seu dicionario", quer dizer, as informações / dados, continuam la, porem difícil de serem encontrados.
Se a voce não escolheu Formatação rápida, seus dados serão apagados.
Se voces prestaram atenção, eu mostrei um fato que aconteceu do Windows para o Linux
E agora Windows para Windows.
Quero dizer que esse " problema" não esta relacionado a um sistema operacional em especifico.
Apagar um disco leva tempo, e a maioria das pessoas, quer as coisas funcionando rápido.
Formatar um disco grande, ( tipo 1.5 Tera ) da forma lenta, pode demorar varias horas.
Fica a dica.
Quem se importa com segurança tem sempre um Backup. ( eu achei o meu algumas horas depois de ter recuperado os dados direto do disco )
Abraços
Olá famatte, tudo certo? Parabéns pelo post, é importante que as pessoas (e empresas) saibam como recuperar dados (e como evitar que estes sejam recuperados também).
ResponderExcluirUm observação importante - há um erro no seu post: "Se a voce não escolheu Formatação rápida, seus dados serão apagados".
Gostaria de fazer três breves comentários:
1o) A diferença da formatação rápida para a formatação "normal" é a busca por BAD SECTORS, em ambos os casos, os índices dos arquivos são recriados e o usuário não vê mais a listagem dos arquivos, mas eles estão lá, e podem ser recuperados com ferramentas (como as que você utilizou - sleuthkit e autopsy). Referência: http://support.microsoft.com/kb/302686
2o) Para realmente remover os dados do disco, é necessário fazer WIPE. Nenhum tipode formatação resolve, pois o que é removido são os índices que apontam para os arquivos - "Directory Entries" em FAT, o "MFT" no NTFS e Directory Entries / Inodes no ext4 por exemplo; e não os dados que estão salvos nos setores/clusters do disco físico.
3o) Recomendo a distribuição DBAN (Darik's Boot and Nuke, para esta finalidade (wiping / sanitização). Site: http://dban.org
um abraço!
Sandro Süffert
Sandro, Obrigado pela participação.
ResponderExcluirAntes de responder, refiz alguns testes, no Windows, com formatação lenta e formatação rápida.
Na formatação lenta, os dados foram realmente apagados. ( unidade zerada )
No post, ficou realmente faltando a parte da verificação de setores ruins.
Para não termos duvida, vale sempre usar uma ferramenta de WIPE, conforme voce recomendou.
Abraços
Olá famate, um outro ponto importante é que diferentes versões do Windows se comportam de forma diferente quanto à "formatação lenta".
ResponderExcluirAté o Vista não havia nenhuma sobrescrição dos dados (apenas da tabela/índice de arquivos), no Vista e 7, há sobrescrição dos dados e o número que se você utiliza no parâmetro /p (passes) serão as vezes que o Windows vai escrever "0x00" no seu disco. Já no 8 e Windows Server 2012 tudo mudou de novo, e o parâmetro /p agora significa quantas vezes A MAIS (além da primeira vez em que o disco vai ser todo escrito com "0x00") você quer que bytes aleatórios sejam escritos para o disco..
Exemplificando:
XP/2003 - format nunca faz wipe
7/2008 - format /p 3 significa, escreva em todos os setores do disco "0x00" 3 vezes..
8/2012 - forat / p 3 passou a significar uma passagem de "0x00" e outras 3 com bytes aleatórios..
Ou seja, na dúvida o melhor mesmo é utilizar uma ferramenta de Wipe ;)
Abraço,
Sandro.